-
Junior Member
- Вес репутации
- 40
Trojan.Mayachok.8
Здравствйте. Никогда не думала, что со мной такое случится, но под давлением начальника скачала и установила первый попавшийся файл. И началось.
Как только открываю браузер, вылазит непонятно окошко с просьбой оценить качество ынтернет соединения и отправить смс на номер, дабы проверить на спам.
Браузеры (фаерфокс, опера, гугл) постоянно закрываются, вылетают, не держат сессии.
При попытке зайти в соц сети, или на почтовый ящик тут же разлогинивается.
проверяла Куреитом, Касперским, Еще стоит комодо-антивирь. Стоял стандартный майкрософтовский, но он реагирует только на кейгены, но вирусы и трояны спокойно даёт устанавливать.
Что я имую сейчас. Куреит и касперы постоянно находят Trojan.Mayachok.8 и Trojan.Mayachok.7 под именами разных экзэшников, комодо вообще говорит, что комп чист.
Очень надеюсь на вашу помощь. Заранее благодарю
пысы. ПОка спасает только старенький эксплорер. Он единсвенный выжил.
virusinfo_syscure.zip
hijackthis.log
virusinfo_syscheck.zip
Последний раз редактировалось selen24; 06.08.2013 в 12:05.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) selen24, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
DeleteFile('C:\WINDOWS\system32\explorer.dll','32');
DeleteFile('C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
thyrex
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
DeleteFile('C:\WINDOWS\system32\explorer.dll','32');
DeleteFile('C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно
Приложения 2 правил по красной ссылке
Прислать запрошенный карантин вверху темы
Сделайте новые логи
Выдаёт ошибку "failed to set data for 'DisplayName'
-
Попробуйте так
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\explorer.dll','');
DeleteFile('C:\WINDOWS\system32\explorer.dll','32');
DeleteFile('C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Такая же ошибка
Может я что-тонеправильно делаю?
-Запускаю AVZ
-файл->выполнить скриптю
-Копипастю в окошко и нашимаю "запустить"
Может надо в безопастном режиме запускать?
- - - Добавлено - - -
Сделала нове лог-файлы. мало ли. Может в прошлых накосячила чего.
пысы. Когда я выполняю стандартный скрипт под номером 3, в логе работы программы он пишет
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]
2. Проверка памяти
Количество найденных процессов: 50
Количество загруженных модулей: 451
Проверка памяти завершена
3. Сканирование дисков
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
- - - Добавлено - - -
Лог первого скрипта
Запуск приложения net.exe stop tcpip /y
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (99) перехвачена, метод APICodeHijack.JmpTo[7C80236B]
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (103) перехвачена, метод APICodeHijack.JmpTo[7C802336]
>>> Код руткита в функции CreateProcessW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dlldrUnloadDll (80) перехвачена, метод APICodeHijack.JmpTo[7C9171CD]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtClose (111) перехвачена, метод APICodeHijack.JmpTo[7C90CFEE]
>>> Код руткита в функции NtClose нейтрализован
Функция ntdll.dll:NtReplyWaitReceivePort (286) перехвачена, метод APICodeHijack.JmpTo[7C90DA8E]
>>> Код руткита в функции NtReplyWaitReceivePort нейтрализован
Функция ntdll.dll:NtReplyWaitReceivePortEx (287) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtReplyWaitReceivePortEx нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (639) перехвачена, метод APICodeHijack.JmpTo[7E3817F7]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowsHookExA (651) перехвачена, метод APICodeHijack.JmpTo[7E381211]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (652) перехвачена, метод APICodeHijack.JmpTo[7E37820F]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (97) перехвачена, метод APICodeHijack.JmpTo[77E00CE8]
>>> Код руткита в функции CreateProcessAsUserA нейтрализован
Функция advapi32.dll:CreateProcessAsUserW (99) перехвачена, метод APICodeHijack.JmpTo[77DDA8A9]
>>> Код руткита в функции CreateProcessAsUserW нейтрализован
Функция advapi32.dll:CreateProcessWithLogonW (100) перехвачена, метод APICodeHijack.JmpTo[77E05FFD]
>>> Код руткита в функции CreateProcessWithLogonW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]
Ошибка AVZ Guard: C0000022
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe)
Карантин с использованием прямого чтения - ошибка
Удаление файла: C:\WINDOWS\system32\explorer.dll
>>>Для удаления файла C:\WINDOWS\system32\explorer.dll необходима перезагрузка
Удаление файла: C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe
>>>Для удаления файла C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs,C:\WINDOWS\ system32\explorer.dll
[микропрограмма лечения]> Удален элемент автозапуска HKEY_LOCAL_MACHINE,Software\Microsoft\Windows NT\CurrentVersion\Windows,AppInit_DLLs,C:\WINDOWS\ system32\explorer.dll
[микропрограмма лечения]> Удален элемент автозапуска HKEY_CURRENT_USER,Software\Microsoft\Windows\Curre ntVersion\Run,~backup~,C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe
[микропрограмма лечения]> Удален элемент автозапуска HKEY_CURRENT_USER,Software\Microsoft\Windows\Curre ntVersion\Run,~backup~,C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe
- - - Добавлено - - -
Если надо - выложу лог 2го скрипта. Перезагрузка не спасает
-
Пофиксите в HiJack
Код:
O4 - HKCU\..\Run: [~backup~] C:\Documents and Settings\P-001\Мои документы\Application Data\explorer.exe
Сделайте новый лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-